54. DFN-Betriebstagung - Forum Sicherheit15. März 2011

Tilmann Haak, DFN-CERT <haak@dfn-cert.de>

Neues aus dem DFN-CERT

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 2/24

Agenda

• Aktuelle Schwachstellen• Automatische Warnmeldungen• Aktuelle Vorfälle• Im Fall eines Vorfalls• Netzwerkprüfer

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 3/24

Schwachstellen

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 4/24

Schwachstellen

• In 2010 haben wir 1766 Advisories verschickt.

• Das sind 1551 einzeln beschriebene Schwachstellen

• In 2011 sind es bereits 367 (14.03.2011) Advisories.

• Zum Vergleich: Für 2010 gibt es 4756 Einträge in der CVE-Datenbank.

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 5/24

win-sec-ssc

• Die „win-sec-ssc“ zieht im Laufe des Jahres auf den DFN-Listserver um.

• Das Format und der Inhalt entsprechen dann den E-Mails, die Sie über das DFN-CERT Portal bekommen.

• DFN-Anwender sollten Ihre Abonnements in das Portal umziehen.– Abmeldung von der „win-sec-ssc“ durch eine

Mail an dfncert@dfn-cert.de.

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 6/24

• Schwachstellen in gängigen Anwendungen (Office, Browser, Java, ...) gehen nicht aus.

• Zum Teil große Mengen an Schwachstellen, die „in einem Rutsch“ behoben werden – und vorher zum Teil jahrelang „offen“ wa-ren...

• „Klassische“ Infektionswege, z.B. überUSB-Sticks sind wieder in Mode.

• Hardwarenahe Schwachstellen, z.B. bei SmartCard-Software, USB-Teibern, ...

Aktuelle Schwachstellen

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 7/24

Automatische Warnmeldungen

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 8/24

Automatische Warnmeldungen (1)

• Seit dem 31.12.2010 sind 100% der bekannten IPv4-Adressen für den Dienst konfiguriert!

• Etwa 2000 Meldungen pro Woche• Vortrag von Prof. Dr. Gerling (MPG),

DFN-Workshop in Hamburg (15./16.2.)Datenschutzfreundliches Monitoring mit Hilfe des AW-Dienstes

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 9/24

Automatische Warnmeldungen (2)

• IPv6 in Planung• Signierte AW-Mails in Vorbereitung• Verkürzen des Intervalls auf 1x täglich

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 10/24

Vorfälle

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 11/24

Aktuelle Vorfälle

● Trojanisierte SSH-Server und -Clients● Phishing E-Mails gegen Hochschulen● Drive-by-Exploits● Verteilte SSH-Angriffe● Vergessene und nicht gepflegete

Installationen auf Webservern, z.B. CMS oder PhpMyAdmin, …

● Conficker ist immer noch weit verbreitet

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 12/24

Weltweite Entwicklung Conficker

Quelle: Shadowserver Foundation, 14.03.2011

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 13/24

Conficker im AS 680

Quelle: Shadowserver Foundation, 14.03.2011

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 14/24

Trojanisiertes SSH

• Sowohl Server als auch Client werden trojanisiert.

• Passwörter und SSH-Keys werden gespeichert.

• Zum Teil inkl. Backdoor im „sshd“ oder Einträgen in $USER/.ssh/authorized_keys.

• Daten werden regelmäßig von Angreifern „abgeholt“.

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 15/24

Trojanisiertes SSH, Gegenmaßnahmen

• Zugriff von 0/0 nicht erlauben.• Keine leeren Passphrasen auf SSH-Keys!• Prüfen Sie die Integrität Ihrer Binaries! Zum

Beispiel mit „rpm -V“, Tripwire, AIDE, ...• Es reicht nicht, die betroffenen Binaries zu

löschen!– Schicken Sie uns bitte ein System-Image oder

zumindest Kopien der Tools für die Analyse...– Setzen Sie das System anschließend neu auf.

• Vergeben Sie neue Passwörter!• Tauschen Sie alle SSH-Keys aus, auch von

Externen – und informieren Sie diese!

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 16/24

• Überlegen Sie sich bitte wirklich gut, ob Sie ein kompromittiertes System weiter betreiben wollen, weil es „wichtig“ ist.

• Wenn Sie ein infiziertes System ausschal-ten, sorgen Sie bitte dafür, dass es nicht einfach so wieder in Betrieb gehen kann.– Das gilt insbesondere für virtuelle Maschinen!

• Unsere Empfehlung ist: Setzen Sie das System neu auf – idealerweise automa-tisch oder aus einem sauberen Backup.

• ...und sagen Sie uns bitte Bescheid ;-)

Im Fall eines Vorfalls...

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 17/24

Netzwerkprüfer

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 18/24

Netzwerkprüfer

• Der Netzwerkprüfer steht jetzt allen Einrichtungen über das DFN-CERT Portal zur Verfügung.

• Sie können die Netzbereiche Ihrer (und nur Ihrer) Einrichtung scannen.

• Neue, übersichtlichere Oberfläche.• Regelmäßige Scans (alle vier Wochen)

möglich.

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 19/24

Netzwerkprüfer: Scan-Auftrag

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 20/24

Netzwerkprüfer: Regelmäßige Scans

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 21/24

Netzwerkprüfer: Scan-Ergebnisse

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 22/24

Netzwerkprüfer: Ergebnisvergleich

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 23/24

Sagen Sie uns bitte Bescheid

54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 24/24

Kontakt zum DFN-CERT

● cert@dfn-cert.de• 040/80 80 77-590

• https://portal.cert.dfn.de/

• Weitere Informationen unter: https://www.cert.dfn.de/

• SSH Account Probes melden:ftp://ftp.dfn-cert.de/pub/tools/x-arf/